J'ai fait un générateur de document pdf avec DOMPDF, et les documents générer sont stockés dans un dossier appelé document. Et le problème est le suivant, si on fait: localhost:8888/generateur_de_pdf/document/doc.pdf on a directement accès au document sans se connecter. Quelqu'un a une proposition de sécurité?
Moi j'ai une idée qui est encore flou; je pense qu'il faut créer un dossier à chaque pdf et le dossier aura le nom du pdf, il aura un index.php et le document pdf sous un nom du genre "nghfhdgnjbfdh1234Z", et pour y avoir accès on utilise une URL comme: localhost:8888/generateur_de_pdf/document/doc/. Et le index.php, vas se charger de renommer le fichier pdf selon ce qu'il y a en base de donnée.
Mais je pense qu'on peut faire plus simple et je ne trouve pas la solution pour le renommer à la fin de l'ouverture.
Si c'est juste une question de protéger un dossier, tu peux passer par une "basic http authentification", ou encore avec apache ou autres selon ton serveur web, un bête htpasswd.
Ils ne devraient même pas être accessibles en HTTP au départ.
Dans tous les cas, tu les renvoies, quitte à utiliser une réécriture, sur un script PHP qui sert d'intermédiaire pour les servir (readfile) ou non en fonction de tes conditions.
> je ne trouve pas la solution pour le renommer à la fin de l'ouverture
Si tu as choisi de l'appeler doc.pdf, je ne vois pas ce qui t'empêche de lui donner un autre nom (à l'éventuel mkdir près qui pourrait être nécessaire). Cela dit, ce n'est pas parce que tu crois lui donner un nom qu'il n'est pas possible de deviner qu'on ne peut pas le trouver/y accéder. Ce que je veux dire, le principal n'est pas tant le nom/chemin du fichier mais bel et bien de s'assurer que le fichier n'est accessible que de qui de droit. Les gens ayant tendance à penser le contraire (ie que générer un chemin "aléatoire" ou même temporaire suffit à en assurer la sécurité)
Quel est ton but au juste ? Quelle est ta définition de "sécuriser" ici (parce que ça peut dire tout et n'importe quoi suivant le contexte) ? Pour résumer, la question à se poser est : qui doit y accéder à ce(s) pdf ?
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli